Huis Veiligheid Voorbij governance en compliance: waarom het beveiligingsrisico belangrijk is

Voorbij governance en compliance: waarom het beveiligingsrisico belangrijk is

Inhoudsopgave:

Anonim

Paddenstoelenindustrie en overheidsmandaten voor IT-beveiliging hebben geleid tot een sterk gereguleerde omgeving en jaarlijkse compliance-brandoefeningen. Het aantal voorschriften dat van invloed is op gemiddelde organisaties, kan gemakkelijk meer dan een dozijn of meer overschrijden en met de dag complexer worden. Dit dwingt de meeste bedrijven om een ​​buitensporige hoeveelheid middelen voor governance en compliance-inspanningen toe te wijzen bovenop hun lange lijst van IT-prioriteiten. Zijn deze inspanningen gerechtvaardigd? Of simpelweg een selectievakje als onderdeel van een nalevingsgerichte benadering van beveiliging?


De bittere waarheid is dat u een audit kunt plannen, maar u kunt geen cyberaanval plannen. Bijna elke dag worden we eraan herinnerd wanneer inbreuken het laatste nieuws halen. Als gevolg hiervan hebben veel organisaties geconcludeerd dat zij om meer inzicht te krijgen in hun risicohouding, verder moeten gaan dan eenvoudige nalevingsbeoordelingen. Als gevolg hiervan houden ze rekening met bedreigingen en kwetsbaarheden, evenals met de impact van het bedrijf. Alleen een combinatie van deze drie factoren verzekert een holistische kijk op risico's.

De valkuil van compliance

Organisaties die een check-box, nalevingsgestuurde benadering van risicobeheer nastreven, bereiken alleen point-in-time beveiliging. Dat komt omdat de beveiligingshouding van een bedrijf dynamisch is en in de loop van de tijd verandert. Dit is keer op keer bewezen.


Onlangs zijn progressieve organisaties begonnen met het volgen van een meer proactieve, op risico gebaseerde benadering van beveiliging. Het doel in een op risico gebaseerd model is om de efficiëntie van de IT-beveiligingsactiviteiten van een organisatie te maximaliseren en inzicht te geven in de risico's en de nalevingspositie. Het uiteindelijke doel is om te blijven voldoen aan de voorschriften, het risico te verminderen en de beveiliging continu te verharden.


Een aantal factoren zorgt ervoor dat organisaties overgaan op een op risico gebaseerd model. Deze omvatten, maar zijn niet beperkt tot:

  • Opkomende cyberwetgeving (bijvoorbeeld de Cyber ​​Intelligence Sharing and Protection Act)
  • Toezicht door het Office of the Comptroller of the Currency (OCC)

Beveiliging voor de redding?

Algemeen wordt aangenomen dat kwetsbaarheidsbeheer het risico op een datalek tot een minimum beperkt. Echter, zonder kwetsbaarheden in de context van het risico te plaatsen, brengen organisaties hun saneringsmiddelen vaak verkeerd in lijn. Vaak zien ze de meest kritische risico's over het hoofd, terwijl ze alleen aandacht besteden aan 'laaghangend fruit'.


Dit is niet alleen een verspilling van geld, maar het biedt ook een langere kans voor hackers om kritieke kwetsbaarheden te misbruiken. Het uiteindelijke doel is om de vensteraanvallers te verkorten om een ​​softwarefout te benutten. Daarom moet kwetsbaarheidsbeheer worden aangevuld met een holistische, op risico gebaseerde benadering van beveiliging, waarbij rekening wordt gehouden met factoren zoals bedreigingen, bereikbaarheid, de compliance-houding van de organisatie en de impact van het bedrijf. Als de dreiging het beveiligingslek niet kan bereiken, wordt het bijbehorende risico verminderd of geëlimineerd.

Risico als de enige waarheid

De nalevingspositie van een organisatie kan een essentiële rol spelen in IT-beveiliging door compenserende controles te identificeren die kunnen worden gebruikt om te voorkomen dat bedreigingen hun doel bereiken. Volgens het Verizon Data Breach Investigations Report 2013, een analyse van de gegevens verkregen uit inbreukonderzoeken die Verizon en andere organisaties het afgelopen jaar hebben uitgevoerd, was 97 procent van de beveiligingsincidenten te voorkomen door middel van eenvoudige of tussentijdse controles. Bedrijfseffecten zijn echter een kritische factor bij het bepalen van het werkelijke risico. Kwetsbaarheden die kritieke bedrijfsmiddelen bedreigen, vormen bijvoorbeeld een veel hoger risico dan risico's die zijn geassocieerd met minder kritieke doelen.


Nalevingshouding is meestal niet gebonden aan de bedrijfskritiek van activa. In plaats daarvan worden compenserende bedieningselementen generiek toegepast en dienovereenkomstig getest. Zonder een duidelijk begrip van de bedrijfskritiek die een activum voor een organisatie vertegenwoordigt, kan een organisatie geen prioriteit geven aan herstelinspanningen. Een risicogestuurde aanpak pakt zowel de beveiliging als de impact van het bedrijf aan om de operationele efficiëntie te verhogen, de nauwkeurigheid van de beoordeling te verbeteren, aanvalsoppervlakken te verminderen en de besluitvorming over investeringen te verbeteren.


Zoals eerder vermeld, wordt het risico beïnvloed door drie sleutelfactoren: de houding van compliance, bedreigingen en kwetsbaarheden en de impact van het bedrijf. Daarom is het essentieel om kritische informatie over risico- en nalevingsposities te verzamelen met huidige, nieuwe en opkomende dreigingsinformatie om de impact op de bedrijfsactiviteiten te berekenen en prioriteit te geven aan herstelacties.

Drie elementen voor een holistische kijk op risico

Er zijn drie hoofdcomponenten voor het implementeren van een risicogebaseerde benadering van beveiliging:

  • Continue compliance omvat de afstemming van activa en automatisering van gegevensclassificatie, afstemming van technische controles, automatisering van conformiteitstests, inzet van beoordelingsonderzoeken en automatisering van gegevensconsolidatie. Met voortdurende naleving kunnen organisaties overlappingen verminderen door gebruik te maken van een gemeenschappelijk controlekader om de nauwkeurigheid bij gegevensverzameling en gegevensanalyse te vergroten en redundante, maar ook handmatige, arbeidsintensieve inspanningen met maximaal 75 procent te verminderen.
  • Voortdurende monitoring impliceert een verhoogde frequentie van gegevensbeoordelingen en vereist automatisering van beveiligingsgegevens door gegevens uit verschillende bronnen te verzamelen en te normaliseren, zoals beveiligingsinformatie en gebeurtenisbeheer (SIEM), activabeheer, bedreigingsfeeds en kwetsbaarheidsscanners. Op hun beurt kunnen organisaties de kosten verlagen door oplossingen te verenigen, processen te stroomlijnen, situationeel bewustzijn te creëren om exploits en bedreigingen tijdig bloot te leggen en historische trendgegevens te verzamelen die kunnen helpen bij voorspellende beveiliging.
  • Closed-loop, risicogebaseerde sanering maakt gebruik van experts binnen bedrijfseenheden om een ​​risicocatalogus en risicotolerantie te definiëren. Dit proces omvat activaclassificatie om bedrijfskritiek te definiëren, continu scoren om risicogebaseerde prioriteitstelling mogelijk te maken en closed-loop tracking en meting. Door een voortdurende beoordelingslus van bestaande activa, mensen, processen, potentiële risico's en mogelijke bedreigingen tot stand te brengen, kunnen organisaties de operationele efficiëntie aanzienlijk verhogen en tegelijkertijd de samenwerking tussen bedrijven, beveiliging en IT-activiteiten verbeteren. Hierdoor kunnen beveiligingsinspanningen - zoals tijd tot oplossing, investeringen in beveiligingspersoneel, aankopen van extra beveiligingshulpmiddelen - worden gemeten en tastbaar worden gemaakt.

Bottom Line on Risk and Compliance

Nalevingsmandaten zijn nooit ontworpen om de IT-beveiligingsbus te besturen. Ze moeten een ondersteunende rol spelen binnen een dynamisch beveiligingskader dat wordt aangestuurd door risicobeoordeling, continue monitoring en closed-loop sanering.
Voorbij governance en compliance: waarom het beveiligingsrisico belangrijk is